截至 2026-04-05 UTC,Flux 依然很容易在第一句话里被说窄。很多团队提起它时,脑子里浮出的还是“盯着 Git 仓库然后把 YAML 拉进 Kubernetes 的那套循环”。这种印象并非空穴来风,因为项目早年的公共身份确实围绕 GitOps 展开。可当前 CNCF 的项目页给出的表述更宽,它把 Flux 写成由 GitOps Toolkit 驱动、面向 Kubernetes 的开放式可扩展持续交付方案;[5] 当前 Source Controllers 文档则更直接,写明 source-controller 的主要职责,是为 artifact 获取提供一层共同接口。[2] 这句话很关键。它把 Git 放回到多个 source 形态中的一种,而没有让 Git 占据整个架构。

也因此,Stefan Prodan 与 Hidde Beydals 那场 Flux Beyond Git: Harnessing the Power of OCI,放到 2026 年再看,依旧有很强的解释力。[1] 演讲一开头就把 OCI 与 container registry 说成 Flux 的“新方向”,真正值得留下来的却并非“项目又加了一个新功能”这种表层印象。[1] 更耐用的收获来自架构层面。只要把可部署单元重新理解成“由 source controller 获取到的 artifact”,Flux 的结构就会清楚许多,Git 也不再需要承担唯一传输层的地位。当前 OCIRepository 文档仍在用很操作化的方式重复这件事:控制器按固定 interval 检查 registry,把拿到的内容转成内部 tarball artifact,并用 digest 跟踪 revision。[3] 当前 Kustomization 文档则继续往下接,通过 .spec.sourceRef 把部署阶段接到 OCIRepositoryGitRepository 等 source 对象上。[4]

顺着视频与文档一起读,更扎实的理解是:Flux 对 OCI 的拥抱,指向的是 GitOps 内部那份“交付单元”的收紧,而并非一次偏航。[1][2][3][4][5] 一旦 manifest、Helm chart 或生成后的 YAML 被打包成 OCI artifact,Git 依旧适合承载编写、审阅与历史,它却不用再垄断传输。registry 可以承担发布与提升的通道,digest 固定成为一等能力,source-controller 也因此更容易显出自己的真实职责:把不同 source 统一成下游控制器能够稳定消费的 artifact。[2][3][4]

配图说明:题图使用 Stefan Prodan 的 GitHub 真实头像照片。它适合本文,因为这篇文章依赖的是维护者对 Flux 架构方向的说明,而并非抽象的 GitOps 图标,也并非库存式机房照片。本文真正有价值的地方,在于一位维护者如何解释 OCI 为什么应该进入 Flux 的 source 合同。[6]

大约从 0:35 开始,视频先把 Flux 讲成一组控制器,再把 OCI 讲成新方向

开头这一分钟很值得停一下,因为讲者先交代 Flux 由多种 controller 组成,然后才谈 OCI。[1] 这并非铺垫性的客套,它直接暴露了维护者眼里的抽象边界。Flux 并不只是“那个从 Git 拉配置的控制器”外加一些旁支能力。它更像一组控制平面部件,各自处理获取、解释、应用这些不同阶段的工作。

书面文档对这一点的支撑很稳。Source Controllers 页面把 GitRepositoryOCIRepository 与其他 source 类型并列成一个家族,并且明白写出 source-controller 的存在意义,就是提供共同的 artifact 获取接口。[2] 带着这层理解再看后文,OCI 的位置会顺很多。它并没有迫使 Flux 发明一套全新的下游部署逻辑,它只是给既有部署逻辑接入了另一种上游传输层。

这一层区分把 Flux 从空泛的 GitOps 口号里拽了出来。很多 GitOps 讨论最后都会退回到 pull 模式、Git 审查与文化姿态。视频真正关心的,是一个更工程化的问题:部署控制器究竟应该消费什么,可部署输入的合同能否在不同 source 之间稳定下来。[1][2][4]

大约从 10:29 开始,OCI 的价值首先来自 source-controller 这层均衡器

第一处真正落地的技术转折,出现在 Beydals 说出那句关键的话:凡是 Flux 已经看得懂的东西,无论是 Kustomize overlay、Terraform 脚本,还是别的生成产物,都可以推到 container registry 里,变成 OCI artifact,再经由 source-controller 下面那组 API 被 Flux 消费。[1] 这一句几乎就是整场视频的架构中心。OCI 之所以重要,并不在于它把 registry 引进来,而在于它没有要求 Flux 亲自理解每一种生成工具。Flux 只需要接受一个已经打包好的结果,并且用现成的 source API 去追踪它。

当前文档把这层关系写得更硬。OCIRepository 页面把这种资源描述成一个从 OCI 内容生成 tarball artifact 的对象;[3] Kustomization 页面则把 .spec.sourceRef 写成从 source 对象流向部署阶段的桥。[4] 两个页面放在一起,合同会变得很清楚:source-controller 负责获取与归一化,Kustomize controller 负责应用。到了这个层面,registry 已经不再像某种额外附着的交付表面,它只是 Flux 可以获取 revisioned artifact 的另一个地点。

对平台团队来说,这层收束比“支持 OCI”四个字本身更重要。若你的交付链条里本来就有 Jsonnet、Cue、CI 里的 Helm 渲染,或者公司内部的 manifest 生成器,让 Flux 为每一种生成器长出专门控制器,控制平面只会越来越宽、越来越碎。把生成后的结果打成 OCI artifact,则能把生成器留在控制平面外部,让 Flux 自己保持更窄、更扎实的职责边界。[1][2][3]

大约从 12:02 开始,tag 跟踪带来便利,digest 固定才是更硬的升级

下一处重要时刻,来自 Prodan 对 tag 与 digest 的说明。他说 Flux 可以跟踪 OCI tag,也可以直接固定到 digest,这与 Git source 跟踪 branch 或固定到 commit SHA 的逻辑形成镜像。[1] 这是整场视频里最好的教学动作之一,因为它把 OCI 讲回到了 Flux 原本就重视的 revision discipline。这里并没有冒出一套全新交付哲学,维护者做的,是把同样的修订边界扩展到 registry 这种介质里。

当前 OCIRepository 文档把这件事继续压实到操作层。页面说明控制器会按 .spec.interval 周期性检查,只有在解析出的 digest 变化时,才会识别出新的 artifact,并且在状态输出里把 digest 直接写进 revision 名称。[3] 这意味着 digest 固定并非一串附属元数据,它就是 Flux 看待“这份可部署单元是谁”的身份标识。

对平台团队来说,真正重要的重心也在这里。tag 对人类流程、环境约定与习惯用法都很友好。digest 则把提升链条里的精确性锁得更紧。artifact 一旦按 digest 固定,问题就不再是“CI 这次大概又生成了差不多的 YAML”,而会变成“当前集群要不要对准这一份已经打包完成的确切 revision”。[1][3] 这道边界比单纯盯 branch 要硬很多。

大约从 18:21 以及 22:07 往后,registry 逐渐显出“交付通道”而并非“Docker 地盘”的样子

视频后半段把实际收益讲得更透。大约在 18:21 左右,两位讲者提到 OCI 的一个直接好处:image、signature 与相关材料可以落在同一个地方。[1] 到 22:07 左右,他们又把这个思路再往前推一步,指出团队完全可以用别的 framework 生成 YAML,然后把结果打包成 OCI artifact,交给 Flux 消费,用不着为了每一种生成语言都在 Flux 里再长出一个专门 controller。[1] 这两段看似分开,实际说的是同一件事:OCI 在削减传输层的分裂,同时又没有迫使 Flux 吞下所有上游工具。

这层关系在当前文档里仍然保持一致。Source Controllers 文档强调共同获取接口;[2] OCIRepository 文档强调 artifact 生成与 digest 跟踪;[3] Kustomization 文档则把下游合同继续收在 sourceRef、interval 以及 .spec.dependsOn 这样的排序字段上。[4] registry 并没有替代 reconciliation 逻辑,它只是在 reconciliation 逻辑前面,提供了一种更干净的交接对象。

也正因此,接近 37:47 的那句轻描淡写反而很重要。讲者说,OCI 只是 interaction layer。[1] 这句话口气很轻,工程含义却很扎实。只要把 OCI 理解成传输层,团队就可以重度使用 registry,而不用误以为 registry 从此接管了一切“真相来源”。Git 依旧适合保存编写历史、评审过程与策略讨论;registry 适合保存已经打包完成的部署 artifact 与签名;Flux 则继续对准被指定的 artifact 去做协调。三者分工靠在一起,反而比过去那种把 Git checkout 与可部署单元揉成一件事的习惯更清楚。

为什么这支视频现在仍然值得嵌进文章

这支视频很适合放进带注释观看,因为它真正提供的收获带有解释性质,而不只是一段功能演示。[1] 只看演示,很容易得到“Flux 现在支持 OCI 了”这一层结论。更有用的理解来自更深一层:Flux 的架构只有在把编写、打包、获取、应用拆开之后,才会变得容易推理。当前几份核心文档仍然沿着这条分工在写项目本身。[2][3][4][5]

也因此,OCI 在 Flux 里的位置并不暧昧。它给 source-controller 增加了一种 registry-native 的 source,同时继续把输出收束成 artifact;它让 digest 级别的提升更扎实;它让生成后的 manifest 找到一条不用逼迫 Flux 持有生成器的传输通道;它也让 Git 丢掉一部分象征性的特殊地位,却没有削弱 Git 的真正价值。这对交付系统来说,是一次健康的澄清。GitOps 在这里不再像一条围绕单一工具的口号,它更像一份围绕 revision、artifact 与 reconciliation 的明确合同。[1][2][3][4][5]

来源

  1. CNCF,《Flux Beyond Git: Harnessing the Power of OCI - Stefan Prodan & Hidde Beydals, Weaveworks》,YouTube 视频,发布于 2022 年 5 月 5 日。
  2. Flux,《Source Controllers》——说明 source-controller 如何为不同 source 类型提供共同的 artifact 获取接口。
  3. Flux,《OCI Repositories》——OCIRepository 文档,包含 interval 轮询、artifact 生成与 digest 级 revision 跟踪。
  4. Flux,《Kustomization》——.spec.sourceRef、reconciliation interval 与依赖排序的文档。
  5. CNCF,《Flux》——把 Flux 描述为由 GitOps Toolkit 驱动的开放式可扩展持续交付方案的项目页。
  6. GitHub,《stefanprodan》——本文配图所依据的人物主页。